Компанія SonicWall оголосила про критичну загрозу безпеці, яка торкнулася міжсетьових екранів сьомого покоління. Невідома раніше уразливість активно експлуатується кіберзлочинцями для розповсюдження шифрувальника Akira, що змусило виробника терміново рекомендувати відключення SSL VPN функціональності на всіх уражених пристроях.
Виявлення загрози фахівцями Arctic Wolf
Перші ознаки аномальної активності були зафіксовані дослідниками Arctic Wolf 15 липня 2025 року. Команда безпеки виявила серію координованих атак з використанням ransomware Akira, які демонстрували нетипові сценарії компрометації корпоративних мереж.
Початковий аналіз вказував на можливе використання 0-day уразвимості, проте експерти не виключали й традиційні методи зламу, включаючи атаки грубої сили та підбір облікових даних. Така обережність в оцінках свідчить про складність точного визначення вектора атаки на ранніх стадіях розслідування.
Підтвердження від Huntress та технічні деталі
Дослідницька команда Huntress не лише підтвердила висновки колег, але й надала критично важливі технічні подробиці. Зловмисники демонструють здатність повністю обходити багатофакторну автентифікацію, що свідчить про глибину виявленої уразвимості в архітектурі SSL VPN.
Особливо небезпечною є швидкість розвитку атак. За даними Huntress, злочинці переходять до компрометації контролерів доменів протягом кількох годин після початкового проникнення. Така оперативність вказує на високий рівень автоматизації та ретельне планування атакуючих сценаріїв.
Рекомендації щодо негайного реагування
Експерти з кібербезпеки одностайно рекомендують адміністраторам негайно вжити наступних заходів:
• Повне відключення SSL VPN служби на пристроях SonicWall 7-го покоління
• Альтернативно – жорстке обмеження доступу через білі списки IP-адрес
• Посилений моніторинг мережевого трафіку та журналів подій безпеки
Офіційна реакція SonicWall
Компанія SonicWall швидко відреагувала на повідомлення дослідників, випустивши офіційний бюлетень безпеки. У документі підтверджується значне зростання кількості інцидентів за останні 72 години, пов’язаних з міжсетьовими екранами сьомого покоління з активованою SSL VPN функціональністю.
Виробник наголошує на проведенні ретельного розслідування для визначення природи уразвимості та розробки відповідних заходів протидії. Такий підхід демонструє серйозність ставлення компанії до виникшої загрози.
Аналіз впливу та наслідків
Даний інцидент висвітлює критичну проблему сучасної кібербезпеки – уразвимість VPN-рішень як ключових точок входу для зловмисників. Здатність обходити багатофакторну автентифікацію робить цю загрозу особливо небезпечною для корпоративних мереж.
Шифрувальник Akira, що використовується в цих атаках, відомий агресивною тактикою та високою ефективністю. Поєднання цього інструменту з можливістю швидкого проникнення в корпоративні системи створює критичний рівень ризику для постраждалих організацій.
Поточна ситуація підкреслює важливість проактивного підходу до кібербезпеки та необхідність миттєвого реагування на попередження виробників. Організаціям слід не тільки виконати рекомендовані тимчасові заходи захисту, але й розробити плани альтернативного віддаленого доступу. Регулярне тестування систем резервного копіювання та планів відновлення після інцидентів стає критично важливим в умовах зростаючих загроз ransomware-атак.
